《防火墙技术原理》PPT课件.ppt
《《防火墙技术原理》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《防火墙技术原理》PPT课件.ppt(78页珍藏版)》请在三一办公上搜索。
1、防火墙技术和原理,北京天融信公司,地址:北京市海淀区上地东路1号华控大厦3层网址:http:/,防火墙基本概念 防火墙发展历程 防火墙核心技术防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议,目录,一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。,两个安全域之间通信流的唯一通道,防火墙的概念,防火墙基本概念 防火墙发展历程 防火墙核心技术防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火
2、墙的两个争议,目录,基于路由器的防火墙,软件防火墙的初级形式,具有审计和告警功能对数据包的访问控制过滤通过专门的软件实现与第一代防火墙相比,安全性提高了,价格降低了,在路由器中通过ACL规则来实现对数据包的控制;过滤判断依据:地址、端口号、协议号等特征,是批量上市的专用软件防火墙产品安装在通用操作系统之上安全性依靠软件本身和操作系统本身的整体安全,防火墙厂商具有操作系统的源代码,并可实现安全内核功能强大,安全性很高易于使用和管理是目前广泛应用的防火墙产品,基于安全操作系统的防火墙,基于通用操作系统的防火墙,防火墙工具套,防火墙的发展历程,防火墙基本概念 防火墙发展历程 防火墙核心技术 防火墙体
3、系结构 防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议,目录,包过滤(Packet filtering):工作在网络层,仅根据数据包头中的IP地址、端口号、协议类型等标志确定是否允许数据包通过。应用代理(Application Proxy):工作在应用层,通过编写不同的应用代理程序,实现对应用层数据的检测和分析。状态检测(Stateful Inspection):工作在24层,访问控制方式与1同,但处理的对象不是单个数据包,而是整个连接,通过规则表和连接状态表,综合判断是否允许数据包通过。完全内容检测(Compelete Content Ins
4、pection):工作在27层,不仅分析数据包头信息、状态信息,而且对应用层协议进行还原和内容分析,有效防范混合型安全威胁。,防火墙的检测与过滤技术,Data,Segment,Packet,Frame,Bit Flow,防火墙基本概念 防火墙发展历程 防火墙核心技术防火墙功能与原理 防火墙的接入方式 防火墙的典型应用 防火墙性能 防火墙局限性 防火墙的两个争议,目录,防火墙的作用,集中的访问控制集中的加密保护 集中的认证授权集中的内容检查集中的病毒防护集中的邮件过滤集中的流量控制集中的安全审计,基本功能地址转换访问控制VLAN支持带宽管理(QoS)入侵检测和攻击防御用户认证IP/MAC绑定动态
5、IP环境支持数据库长连接应用支持路由支持ADSL拨号功能SNMP网管支持日志审计高可用性,防火墙的功能,扩展功能防病毒VPNIPSEC VPNPPTP/L2TP,源地址:192.168.1.21目地址:202.102.93.54,源地址:101.211.23.1目地址:202.102.93.54,101.211.23.2,隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能,地址转换(NAT),Internet,公开服务器可以使用私有地址 隐藏内部网络的结构,199.168.1.6,12.4.1.5,202.102.1.3,MAP 199.16
6、8.1.2:80 TO 202.102.1.3:80,MAP 199.168.1.3:21 TO 202.102.1.3:21,MAP 199.168.1.4:53 TO 202.102.1.3:53,MAP 199.168.1.5:25 TO 202.102.1.3:25,http:/199.168.1.2,http:/202.102.1.3,MAP(地址/端口映射),Host C,Host D,防火墙的基本访问控制功能,Access list 192.168.1.3 to 202.2.33.2Access nat 192.168.3.0 to any pass Access 202.1.2
7、.3 to 192.168.1.3 blockAccess default pass,规则匹配成功,基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间基于用户 基于流量 基于文件 基于网址 基于MAC地址,时间控制策略,Host C,Host D,在防火墙上制定基于时间的访问控制策略,上班时间不允许访问Internet,上班时间可以访问公司的网络,Internet,QoS带宽管理,Internet,WWW,Mail,DNS,财务部子网,采购部子网,出口带宽 512K,DMZ 区保留 256K,分配 70K 带宽,分配 90K 带宽,分配 96K 带宽,DMZ 区域,内部网络,
8、总带宽512 K,内网256 K,DMZ 256 K,70 K,90 K,96 K,+,+,+,财务子网,采购子网,生产子网,生产部子网,防火墙具有内置的IDS模块,可以有效检测并抵御常见的攻击行为,用户通过简单设置即可保护指定的网络对象免于受到以下类型的攻击:1.统计型攻击,包括:Syn Flood、UDP FLOOD、ICMP FLOOD、IP SWEEP、PORT SCAN。2.异常包攻击,包括:Land、Smurf、PingofDeath、Winnuke、TcpScan、IpOption等,内置入侵检测功能,抗DOS攻击功能,防火墙的SYN代理实现原理:在服务器和外部网络之间部署防火墙
9、系统;防火墙在收到客户端的Syn包后,防火墙代替服务器向客户端发送Syn/Ack包;如果防火墙收到客户端的Ack信息,表明访问正常,由防火墙向服务器发送Syn包并完成后续的TCP握手,建立客户端到服务器的连接。通过这种Syn代理技术,保证每个Syn包源的真实有效性,确保虚假请求不被发往服务器,从而彻底防范对服务器的Syn-Flood攻击。,SYN,SYN/ACK,ACK,SYN,SYN/ACK,ACK,SYN,SYN/ACK,ACK,Client,Server,SYN,SYN,Host C,Host D,Host B,Host A,受保护网络,Internet,IDS,黑客,发起攻击,发送通知
10、报文,验证报文并采取措施,发送响应报文,识别出攻击行为,阻断连接或者报警等,与 IDS 的安全联动,丰富的认证方式和第三方认证支持,Internet,RADIUS服务器,OTP 认证服务器,liming,*,防火墙将认证信息传给真正的RADIUS服务器,进行认证,将认证结果传给防火墙,本地认证、内置OTP服务器认证支持第三方RADIUS服务器认证支持TACAS/TACAS+服务器认证支持S/KEY、SECUID、VIECA、LDAP、域认证等认证,根据认证结果决定用户对资源的访问权限,Internet,Host B,199.168.1.3,Host C,199.168.1.4,Host D,1
11、99.168.1.5,00-50-04-BB-71-A6,00-50-04-BB-71-BC,BIND 199.168.1.2 To 00-50-04-BB-71-A6,BIND 199.168.1.4 To 00-50-04-BB-71-BC,IP与MAC地址绑定后,不允许Host B假冒Host A的IP地址上网,防火墙允许Host A上网,IP与MAC(用户)的绑定,199.168.1.2,对DHCP应用环境的支持,Internet,DHCP服务器,Host A,Host B,Host C,Host D,Host E,Host F,没有固定IP地址,只允许Host B上网,设定Host
12、B的MAC地址,设定Host B的IP地址为空,根据Host B的MAC地址进行访问控制,建立连接并维持连接状态直到查询结束,对数据库长连接的支持,数据库查询一般需要比较长的时间,这些通讯连接建立成功后可能暂时没有数据通过(空连接),普通防火墙在连接建立一段时间后如果没有数据通讯会自动切断连接,导致业务不能正常运行,需要较长的查询时间,需要在防火墙里面维护这个连接状态,直到查询结束。该功能是可选的。,动态路由功能-RIP,动态路由功能-OSPF,ADSL拨号功能PPPOE,Host C,Host D,Host B,Host A,受保护网络,SNMP报文,获取硬件配置信息资源使用状况信息防火墙的
13、流量信息防火墙的连接信息防火墙的版本信息防火墙的用户信息防火墙的规则信息防火墙的路由信息,SNMP服务器端,SNMP客户端(HP openview),支持SNMP 网络管理,日志分析功能,会话日志:即普通连接日志通信源地址、目的地址、源目端口、通信时间、通信协议、字节数、是否允许通过命令日志和内容日志:即深度分析日志在通信日志的基础之上,记录下各个应用层命令参数和内容。例如HTTP请求及其要取的网页名。提供日志分析工具自动产生各种报表,智能化的指出网络可能的安全漏洞,Clint,http:/,响应请求,发送请求,通信日志,通信日志,通信信息,192.168.6.169,192.168.6.17
14、0,普通连接日志会话日志,Clint,http:/,响应请求,发送请求,命令日志,命令日志,192.168.6.169,192.168.6.170,深度分析日志(1)命令日志,命令信息,Clint,http:/,响应请求,发送请求,访问日志,访问日志,192.168.6.169,192.168.6.170,深度分析日志(2)内容日志,访问信息,高可用性-双机热备功能,内部网,外网或者不信任域,Eth 0,Eth 0,Eth1,Eth1,Eth2,Eth2,心跳线,Active Firewall,Standby Firewall,检测Active Firewall的状态,发现出故障,立即接管其工
15、作,正常情况下由主防火墙工作,主防火墙出故障以后,接管它的工作,Hub or Switch,Hub or Switch,通过ISTP协议可以交换两台防火墙的状态信息,当一台防火墙故障时,这台防火墙的连接不需要重新建立就可以透明的迁移到另一台防火墙上,用户不会察觉到,丰富的链路备份功能,单combo口双链路备份,双端口环形光纤链路备份,HA,HA双机备份,全冗余备份,防火墙,路由器,交换机,WWW 1,WWW 2,WWW 3,负载均衡算法:轮流轮流+权值最少连接最少连接+权值,http:/,根据负载均衡算法将数据重定位到一台WWW服务器,服务器阵列,响应请求,高可用性-服务器负载均衡,防火墙提供
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 防火墙技术原理 防火墙 技术 原理 PPT 课件
链接地址:https://www.31ppt.com/p-5677634.html